Muitas estações de trabalho têm um certificado de computador expirado que foi emitido usando o modelo CA de autenticação de estação de trabalho. A CA deste modelo expira em 2 dias.
Implantei uma nova CA, com data estendida, e cadastrei muitas máquinas com sucesso neste fim de semana.
Agora estou preocupado com as estações de trabalho que estão desligadas ou que não receberam um novo certificado de computador da Enterprise CA.
P:
- Para que servem os Certificados de Estação de Trabalho? Kerberos?
- Os usuários/máquinas poderão fazer login na segunda-feira de manhã (após a data de expiração)?
- Depois que os certificados expirarem, será possível que as máquinas obtenham novos certificados?
Como estou usando o Windows 2012 R2, é possível que o NTLM de nível inferior seja usado como uma alternativa ao Kerberos e isso não é um problema... embora não tenha certeza se isso é aceitável em todos os casos: (por exemplo, inscrição DCOM de certificados)
Não. O Kerberos não usa certificados SSL/TLS.**
Um administrador pode optar por usar um determinado modelo de certificado para várias coisas diferentes, então eu diria que é impossível sabermos agora para que exatamente esses certificados estavam sendo usados em seu ambiente.
O modelo de autenticação da estação de trabalho é muito semelhante ao modelo de certificado de computador. Ambos os modelos de certificado oferecem autenticação de computador. Portanto, os certificados podem ser usados para estabelecer conexões SSL/TLS máquina a máquina.
Por exemplo, um exemplo de como os certificados de autenticação da estação de trabalho podem ter sido usados é para autenticação do cliente com o SCCM, para que o SCCM saiba que está falando com o cliente certo.
Provavelmente. O Active Directory não requer certificados para poder fazer login no domínio em uma configuração típica. Mas você pode ter algum serviço auxiliar em seu ambiente que quebra ... o que quer que estivesse usando esses certificados antes, não sabemos.
Você configura políticas de registro automático de certificado no Active Directory usando uma combinação de Política de Grupo e permissões no modelo de certificado que permite que as máquinas sejam registradas automaticamente. Você quase nunca deve precisar ou querer se inscrever manualmente em certificados em um ambiente do Active Directory.
A capacidade de um cliente se inscrever em um certificado de uma CA corporativa não será afetada pelo fato de esse cliente ter um certificado válido ou não. É um modelo de certificado diferente do que posso dizer em sua postagem, portanto, o fato de o modelo de certificado antigo ter expirado não afetará se um computador pode reinscrever-se automaticamente nele ou não. Se for um novo modelo, você precisará configurar a Diretiva de Grupo para permitir o registro automático desse novo modelo.
** - Não para os propósitos desta discussão.
eles podem ser usados para autenticação do cliente durante a negociação de canal seguro (por exemplo, em IPsec ou em L2TP VPN). Eles não são usados para autenticação inicial do cliente, quando a máquina é inicializada.
sim, porque não?
manualmente -- sim, automaticamente -- não. Mesmo se você estiver usando o registro automático, eles devem ser renovados antes que expirem, caso contrário, o registro automático não poderá assinar o pedido de renovação.
e para resumir: certificados de cliente não são usados até que algum aplicativo seja configurado para executar autenticação baseada em certificado para computadores (não usuários).
Resposta da MSFT: Caso 114120112106756
Qualquer aplicativo que procure por autenticação de cliente exigirá um certificado de autenticação de cliente (um certificado emitido para o computador por meio de um modelo de computador ou estação de trabalho).
É uma configuração de aplicativo se deve verificar o certificado do cliente ou não. Por exemplo, o SCCM pode ser configurado para verificar a autenticidade do cliente por meio de certificados de cliente. O mesmo que um aplicativo da Web IIS ou LDAP sobre SSL.
Um certificado é necessário apenas para comunicação SSL/TLS que o cliente inicia com um aplicativo e vice-versa. O Kerberos funciona em diferentes camadas de aplicativos, portanto, não requer certificados.
Optamos por certificados no caso de EAP (protocolo de autenticação estendida). Agora, como o aplicativo (se configurado) procura o certificado de clientes para comunicação TLS/SSL bem-sucedida, você deve certificar-se de que um certificado esteja presente com o cliente que prove que os clientes são legítimos e emitidos por uma autoridade de certificação confiável.